MITRE 和 CISA 發布 2021 年最常見硬件弱點清單

MITRE 和 DHS 的網絡安全和基礎設施安全局 (CISA) 宣布發布“2021 年常見弱點枚舉 (CWE) 最重要的硬件弱點”列表。

發布該列表的目的是通過 CWE 提高對常見硬件弱點的認識，并教育設計師和程序員如何在產品開發生命周期中解決這些弱點。 

該列表共包含 12 個漏洞條目，得分從 1.03 到 1.42（最高可能得分為 2.0）。

以下是按 CWE 標識符排序的兩個組織共享的弱點列表：

CWE-1189片上系統 (SoC) 上共享資源的不當隔離

CWE-1191具有不當訪問控制的片上調試和測試接口

CWE-1231鎖位修改不當預防

CWE-1233具有丟失鎖定位保護的安全敏感硬件控制

CWE-1240使用具有風險實施的加密原語

CWE-1244暴露于不安全調試訪問級別或狀態的內部資產

CWE-1256軟件接口對硬件功能的不當限制

CWE-1260受保護內存范圍之間重疊處理不當

CWE-1272調試/電源狀態轉換前未清除的敏感信息

CWE-1274對包含引導代碼的易失性內存的不當訪問控制

CWE-1277固件不可更新

CWE-1300物理側信道保護不當

CIO 和安全經理還可以使用該列表來評估其計劃的效率，以保護其組織內的硬件。

專家們還分享了一份額外的五個弱點清單，這些弱點包括在風口浪尖上的硬件弱點中，應該由風險管理人員解決。

CWE-226重用前未刪除資源中的敏感信息

CWE-1247針對電壓和時鐘毛刺的不當保護

CWE-1262寄存器接口訪問控制不當

CWE-1331片上網絡 (NoC) 中共享資源的不當隔離

CWE-1332錯誤處理導致指令跳過

“ 2021 CWE? 最重要的硬件弱點是同類中的第一個，也是硬件 CWE 特別興趣小組 (SIG)內部合作的結果，  SIG是代表硬件設計、制造、研究和安全領域的組織的個人社區論壇，以及學術界和政府。” 閱讀公告。

“安全分析師和測試工程師可以使用該列表來準備安全測試和評估計劃。硬件消費者可以使用該列表來幫助他們向供應商索取更安全的硬件產品。最后，管理人員和 CIO 可以使用該列表作為衡量其硬件安全工作進度的衡量標準，并確定將資源分配到何處來開發安全工具或自動化流程，通過消除潛在的根本原因來緩解各種漏洞。”